Autenticación de la API de Looker con OAuth

Looker usa OAuth para permitir que las aplicaciones cliente de OAuth se autentiquen en la API de Looker sin exponer los IDs de cliente y los secretos del cliente al navegador que ejecuta la aplicación cliente de OAuth.

Las aplicaciones web que usan OAuth deben cumplir con los siguientes requisitos:

  • La autenticación con OAuth solo está disponible con la API de Looker 4.0.
  • Las aplicaciones cliente de OAuth deben registrarse primero con Looker usando la API para que los usuarios de la aplicación puedan autenticarse en Looker.
  • Las aplicaciones cliente deben usar HTTPS para todas las solicitudes a la API de Looker. Las aplicaciones cliente que quieran usar las APIs de SubtleCrypto que proporciona el navegador deben estar alojadas en HTTPS.

Compatibilidad con CORS de la API de Looker

La API de Looker admite que se las llame en el navegador y en todos los orígenes con el protocolo de uso compartido de recursos entre dominios (CORS). La compatibilidad de Looker CORS tiene los siguientes requisitos:

  • Solo los orígenes que se indican en la lista de entidades permitidas de dominios incorporados pueden llamar a la API con CORS.
  • Solo se pueden usar tokens de acceso obtenidos de OAuth o de una llamada extremo de API de /login para hacer llamadas a la API de Looker con CORS.

    No se puede llamar al extremo de la API de /login con solicitudes de CORS. Las aplicaciones cliente que deseen llamar a la API de Looker con solicitudes de CORS deben usar el proceso de acceso de OAuth que se describe en Realiza el acceso de los usuarios con OAuth o recuperar un token desde tu servidor de aplicaciones o desde llamadas a la API que no sean de CORS.

Descripción general de la autenticación de OAuth

A continuación, se muestra una descripción general del proceso de autenticación de OAuth:

  1. Registra la aplicación cliente de OAuth con la API de Looker.
  2. Agrega el origen de tu aplicación cliente de OAuth a tu lista de entidades permitidas de dominios incorporados para la llamada a la API de intercambio de códigos y cualquier llamada a la API de CORS posterior.
  3. Redirecciona la URL del navegador al extremo /auth en el nombre de host de la IU de Looker (no en el nombre de host de la API de Looker) cuando la aplicación cliente de OAuth intente autenticar a un usuario. Por ejemplo, https://instance_name.looker.com
  4. Si el usuario se autenticó correctamente y accedió a Looker, Looker mostrará de inmediato un redireccionamiento de OAuth a la aplicación cliente de OAuth. Si el usuario aún no accedió a Looker en el dispositivo y el navegador, se mostrará la pantalla de acceso de Looker y se le solicitará que acceda a su cuenta de usuario de Looker con su protocolo de autenticación habitual.
  5. Con el código de autorización que se muestra en la redirección de OAuth, tu aplicación cliente de OAuth debe realizar una llamada al extremo /token en el nombre de host de la API de Looker, por ejemplo, https://instance_name.looker.com:19999. El nombre de host de la API puede ser igual o diferente al nombre de host de la IU de Looker. El extremo /token solo existe en el host de la API de Looker, y el extremo /auth solo existe en el host de la IU de Looker.
  6. Si el código de autorización que se pasa al extremo /token es válido, Looker muestra una API access_token que está habilitada para las solicitudes de API de CORS desde el dominio de la aplicación cliente de OAuth.

Registra una aplicación cliente de OAuth

Cada aplicación cliente de OAuth que intente autenticarse en la API de Looker con OAuth primero debe registrarse en la instancia de Looker para que esta autorice el acceso. Para registrar una aplicación cliente de OAuth, haz lo siguiente:

  1. Abre el Explorador de APIs en tu instancia de Looker.
  2. En el menú desplegable de la versión, elige la versión 4.0 - estable de la API.
  3. En el método Auth, busca el extremo de API register_oauth_client_app(). También puedes buscar "app de oauth" en el campo Búsqueda. Puedes usar register_oauth_client_app() para registrar tu aplicación cliente de OAuth en Looker. Haz clic en el botón Ejecutarlo, ingresa los parámetros en el Explorador de APIs. Luego, haz clic en Ejecutarlo de nuevo para registrar la aplicación cliente de OAuth o usa el extremo de API register_oauth_client_app() de manera programática. Los parámetros register_oauth_client_app() obligatorios son los siguientes:

    • client_guid: Un ID único a nivel global para la aplicación
    • redirect_uri: Es el URI en el que la aplicación recibirá un redireccionamiento de OAuth que incluye un código de autorización.
    • display_name: Es el nombre de la aplicación que se muestra a los usuarios.
    • description: Una descripción de la aplicación que se muestra a los usuarios en una página de divulgación y confirmación cuando un usuario accede por primera vez desde la aplicación

    Los valores de los parámetros client_guid y redirect_uri deben coincidir con los valores que proporcionará la aplicación cliente de OAuth de forma exacta; de lo contrario, se rechazará la autenticación.

Cómo realizar el acceso de los usuarios con OAuth

  1. Navega al usuario al extremo /auth en el host de la IU. Por ejemplo:

    async function oauth_login() {
      const code_verifier = secure_random(32)
      const code_challenge = await sha256_hash(code_verifier)
      const params = {
        response_type: 'code',
        client_id: '123456',
        redirect_uri: 'https://mywebapp.com:3000/authenticated',
        scope: 'cors_api',
        state: '1235813',
        code_challenge_method: 'S256',
        code_challenge: code_challenge,
      }
      const url = `${base_url}?${new URLSearchParams(params).toString()}` // Replace base_url with your full Looker instance's UI host URL, plus the `/auth` endpoint.
      log(url)
    
      // Stash the code verifier we created in sessionStorage, which
      // will survive page loads caused by login redirects
      // The code verifier value is needed after the login redirect
      // to redeem the auth_code received for an access_token
      //
      sessionStorage.setItem('code_verifier', code_verifier)
    
      document.location = url
    }
    
    function array_to_hex(array) {
      return Array.from(array).map(b => b.toString(16).padStart(2,'0')).join('')
    }
    
    function secure_random(byte_count) {
      const array = new Uint8Array(byte_count);
      crypto.getRandomValues(array);
      return array_to_hex(array)
    }
    
    async function sha256_hash(message) {
      const msgUint8 = new TextEncoder().encode(message)
      const hashBuffer = await crypto.subtle.digest('SHA-256', msgUint8)
      return base64.urlEncode(hashBuffer))  // Refers to the implementation of base64.encode stored at https://gist.github.com/jhurliman/1250118
    }
    

    Looker intentará autenticar al usuario con el sistema de autenticación para el que está configurada la instancia de Looker.

    • Si el usuario ya accedió a Looker en el navegador actual (lo que significa que hay un estado de cookie de acceso activo), no se le pedirá al usuario que ingrese sus credenciales de acceso.
    • Si es la primera vez que este usuario accede con esta aplicación cliente de OAuth, Looker mostrará una página de divulgación y confirmación para que el usuario la acepte. Se mostrará el texto del parámetro description que se usó cuando se registró la aplicación. La descripción debe indicar lo que la aplicación pretende hacer con la cuenta de Looker del usuario. Cuando el usuario haga clic en Aceptar, la página redireccionará a la aplicación redirect_uri.
    • Si el usuario ya accedió a Looker en el navegador actual y aceptó la página de divulgación, el acceso a OAuth es instantáneo y no se interrumpe la visualización.
  2. La API de Looker devolverá un redireccionamiento de OAuth a la aplicación cliente de OAuth. Guarda el código de autorización que aparece en el parámetro URI. El siguiente es un ejemplo de URI de redireccionamiento de OAuth:

    https://mywebapp.com:3000/authenticated?&code=asdfasdfassdf&state=...
    

    El código de autorización se muestra después de &code= en el URI. En este ejemplo, el código de autorización es asdfasdfassdf.

  3. Realiza una solicitud web al extremo /token en la API de Looker y pasa el código de autorización y la información de tu aplicación. Por ejemplo:

    async function redeem_auth_code(response_str) {
      const params = new URLSearchParams(response_str)
      const auth_code = params.get('code')
    
      if (!auth_code) {
        log('ERROR: No authorization code in response')
        return
      }
      log(`auth code received: ${auth_code}`)
      log(`state: ${params.get('state')}`)
    
      const code_verifier = sessionStorage.getItem('code_verifier')
      if (!code_verifier) {
        log('ERROR: Missing code_verifier in session storage')
        return
      }
      sessionStorage.removeItem('code_verifier')
      const response = await
      fetch('https://mycompany.looker.com:19999/api/token', {  // This is the URL of your Looker instance's API web service
        method: 'POST',
        mode: 'cors',    // This line is required so that the browser will attempt a CORS request.
        body: stringify({
          grant_type: 'authorization_code',
          client_id: '123456',
          redirect_uri: 'https://mywebapp.com:3000/authenticated',
          code: auth_code,
          code_verifier: code_verifier,
        }),
        headers: {
          'x-looker-appid': 'Web App Auth & CORS API Demo', // This header is optional.
          'Content-Type': 'application/json;charset=UTF-8'  // This header is required.
        },
      }).catch((error) => {
        log(`Error: ${error.message}`)
      })
    
      const info = await response.json()
      log(`/api/token response: ${stringify(info)}`)
    
      // Store the access_token and other info,
      // which in this example is done in sessionStorage
    
      const expires_at = new Date(Date.now() + (info.expires_in * 1000))
      info.expires_at = expires_at
      log(`Access token expires at ${expires_at.toLocaleTimeString()} local time.`)
      sessionStorage.setItem('access_info', stringify(info))
      access_info = info
    }
    

    Una respuesta correcta proporcionará a la aplicación cliente de OAuth una API access_token. La respuesta también contendrá una refresh_token, que puedes usar más adelante para obtener un nuevo access_token sin interacción del usuario. Un elemento refresh_token tiene una vida útil de un mes. Almacena refresh_token de forma segura.

    El administrador de Looker puede revocar todos los tokens de este sistema en cualquier momento.